As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Estrutura de contas dedicada
| Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWS SRA) respondendo a uma breve pesquisa |
E Conta da AWS fornece limites de segurança, acesso e cobrança para seus AWS recursos e permite que você alcance independência e isolamento de recursos. Por padrão, nenhum acesso é permitido entre contas.
Ao projetar sua OU e estrutura de contas, comece com a segurança e a infraestrutura em mente. Recomendamos criar um conjunto básico OUs para essas funções específicas, dividido em Infraestrutura e Segurança OUs. Essas recomendações de UO e de contas abrangem um subconjunto de nossas diretrizes mais amplas AWS Organizations e abrangentes para o design da estrutura de várias contas. Para obter um conjunto completo de recomendações, consulte Organizando seu AWS ambiente usando várias contas na AWS
documentação e na postagem do blog Melhores práticas para unidades organizacionais com AWS Organizations
O AWS SRA utiliza as seguintes contas para realizar operações de segurança eficazes em. AWS Essas contas dedicadas ajudam a garantir a separação de tarefas, oferecem suporte a diferentes políticas de governança e acesso para diferentes tipos de aplicativos e dados e ajudam a mitigar o impacto de um evento de segurança. Nas discussões a seguir, nos concentraremos nas contas de produção (produção) e nas cargas de trabalho associadas. As contas do ciclo de vida de desenvolvimento de software (SDLC) (geralmente chamadas de contas de desenvolvimento e teste) são destinadas à preparação de resultados e podem operar sob um conjunto de políticas de segurança diferente das contas de produção.
Conta |
OU |
Função de segurança |
|---|---|---|
Gerenciamento
|
— |
Governança central e gerenciamento de tudo Regiões da AWS e contas. Conta da AWS Aquele que hospeda a raiz da AWS organização. |
Ferramentas de segurança |
Segurança |
Dedicado Contas da AWS para operar serviços de segurança amplamente aplicáveis (como Security Hub CSPM GuardDuty, Audit Manager, Detective, Amazon Inspector AWS Config e), Contas da AWS monitorar e automatizar alertas e respostas de segurança. (Em AWS Control Tower, o nome padrão da conta na OU de segurança é Conta de auditoria.) |
Arquivo de log |
Segurança |
Dedicado Contas da AWS à ingestão e arquivamento de todos os registros e backups de todos e. Regiões da AWS Contas da AWS Isso deve ser projetado como armazenamento imutável. |
Rede |
Infraestrutura |
O gateway entre seu aplicativo e a Internet em geral. A conta de rede isola os serviços, a configuração e a operação de rede mais amplos das cargas de trabalho de aplicativos individuais, da segurança e de outras infraestruturas. |
Serviços compartilhados |
Infraestrutura |
Essa conta oferece suporte aos serviços que vários aplicativos e equipes usam para fornecer seus resultados. Os exemplos incluem serviços de diretório do Identity Center (Active Directory), serviços de mensagens e serviços de metadados. |
Aplicação |
Workloads |
Contas da AWS que hospedam os aplicativos da AWS organização e executam as cargas de trabalho. (Às vezes, são chamadas de contas de carga de trabalho.) As contas de aplicativos devem ser criadas para isolar os serviços de software em vez de serem mapeadas para suas equipes. Isso torna o aplicativo implantado mais resiliente às mudanças organizacionais. |
